Proteger los sistemas de una empresa frente a las amenazas más temibles es fundamental, pero a menudo son las más discretas y aparentemente inofensivas las que tienen potencial de hacer más daño. Algo tan mundano como revender los discos duros que ya no se utilizan puede abrir de par en par una puerta a los ciberdelincuentes.
Así lo ha demostrado una investigación reciente. De 200 discos duros que los expertos a cargo del estudio compraron en páginas de segunda mano como eBay o Craiglist, más de dos tercios (el 67%) aún contenían información que identificaba a sus propietarios y una buena cantidad (el 11%) almacenaban datos sensibles de alguna empresa.
Números de la Seguridad Social, currículums, correos electrónicos corporativos (hasta en el 9% de los casos), registros del CRM (1%) u hojas de cálculo con proyecciones de ventas e inventarios de las organizaciones (5%) son algunas de las joyas que los investigadores pudieron rescatar de los dispositivos de almacenamiento, igual que un atacante con peores intenciones hubiera podido hacerlo.
Formatear es lo mínimo
Lo más preocupante es que los dueños de muchos discos duros creían haber eliminado el contenido antes de ponerlos a la venta a través de internet, algo que demuestra la escasa concienciación ante los riesgos de un borrado negligente. Dos de cada cinco aparatos (concretamente, el 36%) mostraban indicios de un intento de eliminación del contenido, ya fuera mediante la engañosa Papelera de Reciclaje (que en realidad es tan solo una carpeta más de los equipos) o a través del botón de suprimir.
La Papelera de Reciclaje en realidad es tan solo una carpeta más del ordenador.
Ninguna de estas técnicas es suficiente para que la información desaparezca por completo. Con los conocimientos necesarios, resulta muy sencillo recuperar los datos que no han sido borrados de manera permanente mediante un proceso más seguro. Si se formatea varias veces el dispositivo, la información debería sobreescribirse por completo. No obstante, la única manera de tener total certeza de que el contenido de un disco duro va a desaparecer es destruirlo.
Si se pretende reciclar, reutilizar o revender los aparatos, evidentemente no es una opción. Pero en el caso de la mayoría de los discos duros analizados ni siquiera se dio el primer paso. Solo el 10% de los dispositivos empleados durante la investigación se habían sometido a un proceso seguro de borrado, como el formateo en varias pasadas.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
